BEDROHUNG
Die US-Behörde CISA hat eine Schwachstelle in Ivanti Endpoint Manager (EPM) als aktiv ausgenutzt markiert. Ivanti hatte die Lücke bereits Anfang Februar gepatcht. Bei der als „hoch" eingestuften CVE-2026-1603 handelt es sich um einen Authentication-Bypass in Ivantis All-in-One-Endpoint-Management-Lösung. Angreifer können ohne Berechtigungen remote die Authentifizierung umgehen und gespeicherte Login-Daten stehlen – eine Benutzerinteraktion ist nicht erforderlich.
Laut Threat-Monitoring der Shadowserver Foundation sind derzeit mehr als 700 EPM-Instanzen aus dem Internet erreichbar. Wie viele davon bereits gepatcht wurden, bleibt unklar.
Bild: Shadowserver Foundation
Zusätzlich nahm die CISA CVE-2025-26399 – eine kritische AjaxProxy-Deserialization-RCE-Lücke in SolarWinds Web Help Desk – sowie eine Server-Side-Request-Forgery-Schwachstelle (SSRF) in Omnissa Workspace ONE in den „Known Exploited Vulnerabilities"-Katalog (KEV) auf. Details zu den laufenden Angriffen veröffentlichte die Behörde nicht. Für sämtliche Lücken existieren bereits Patches.
Was jetzt zu tun ist:
• Ivanti EPM, SolarWinds Web Help Desk und Omnissa Workspace ONE umgehend auf die neuesten Versionen aktualisieren
Prävention & Detection
Cisco Talos Threat Intelligence liefert detaillierte Indicators of Compromise (IoCs), Angriffsmuster und Telemetriedaten, die dabei helfen, die aktive Ausnutzung der Schwachstelle frühzeitig zu erkennen und gezielt gegenzusteuern.
Mit ein SIEM Tool, wie IBM QRadar, Splunk, Microsoft Sentinel erkennen wir Sicherheitsereignisse in Netzwerk Infrastrukturen zuverlässig und zügig. Unternehmen und Organisationen buchen dieses Schutzschild als Managed Service inklusive Fachpersonal und modernster technologischer Unterstützung.
Autor: Michael Niers
